Table des matières
Les campagnes de faux avis de livraison DHL se multiplient depuis quelques années, ciblant aussi bien les particuliers que les professionnels. Derrière ces emails trompeurs se cache une technique de plus en plus sophistiquée : la manipulation du DKIM (DomainKeys Identified Mail), qui sert à authentifier l’expéditeur et à garantir l’intégrité du message. Certaines variantes DKIM sont systématiquement utilisées dans ces campagnes, ce qui permet de détecter et anticiper les tentatives de fraude avant que les utilisateurs ne cliquent sur des liens malveillants.
Dans les analyses de plusieurs campagnes récentes, une variante DKIM particulière apparaît systématiquement. Il s’agit souvent d’une signature DKIM légèrement altérée, utilisant des clés publiques ou des sélecteurs non liés aux serveurs officiels de DHL. Alors que les emails légitimes sont signés via un sélecteur officiel, les faux avis affichent un sélecteur tel que “dhl-notify” ou “track-info” associé à un domaine contrefait, souvent proche de l’original, mais avec des modifications subtiles dans l’orthographe.
Cette modification permet aux attaquants de passer certains filtres anti-spam, tout en permettant aux experts en sécurité de repérer rapidement le message comme suspect. Les logs d’analyse DKIM montrent que plus de 85 % des emails identifiés comme faux utilisent cette même structure de sélecteur, ce qui en fait un indicateur fiable pour la détection automatisée.
Le DKIM sert à valider que l’email provient bien du domaine indiqué et n’a pas été modifié pendant le transport. Les fraudeurs exploitent des variantes de DKIM pour tromper les systèmes de messagerie et éviter d’être bloqués par les filtres SPF ou DMARC. En modifiant légèrement la signature ou le sélecteur, ils créent une apparence d’authenticité, suffisamment crédible pour que certains utilisateurs ouvrent le message.
Cette stratégie est particulièrement efficace dans les campagnes de faux avis DHL, car la confiance envers la marque est élevée et l’urgence du message incite à cliquer. Les analyses montrent que près de 70 % des destinataires ouvrant ces emails suspects le font avant qu’une alerte anti-spam ne les prévienne, soulignant l’importance de reconnaître la variante DKIM utilisée.
Le DKIM n’est pas le seul élément permettant de détecter ces campagnes. Les fraudeurs combinent souvent la signature DKIM altérée avec des domaines légèrement différents, des liens raccourcis ou des messages simulant des mises à jour de livraison réelles. Cependant, la variante DKIM reste l’élément technique le plus fiable pour automatiser la détection, surtout dans les flux massifs d’emails.
Les systèmes de sécurité modernes intègrent désormais l’analyse des sélecteurs DKIM, le SPF et le DMARC pour déterminer la légitimité d’un message. Lorsqu’un sélecteur inconnu ou altéré est détecté, le message est marqué comme potentiellement dangereux. Cette combinaison réduit le risque pour les utilisateurs finaux et permet de filtrer les campagnes de faux avis avant qu’elles n’atteignent la boîte de réception.
Pour limiter les risques, il est conseillé aux utilisateurs et aux entreprises de vérifier la signature DKIM des emails provenant de DHL ou d’autres services de livraison. Les outils de messagerie avancés et certains plugins permettent d’afficher le sélecteur et le domaine utilisés. Une signature DKIM non conforme au standard officiel est un signal fort de tentative de fraude.
Les équipes de sécurité peuvent également configurer des règles automatiques pour bloquer ou mettre en quarantaine les emails dont le sélecteur DKIM ne correspond pas au domaine officiel DHL. Associé à la vigilance sur les liens contenus dans le message, cela constitue une méthode efficace pour réduire le risque de phishing et de malware dans les campagnes de faux avis.